Come faranno gli utenti a sapere se la loro sessione è protetta da DNSSec o no?

Question

Come faranno gli utenti a sapere se la loro sessione è protetta da DNSSec o no?

#1 da (7 voti)

4

Esiste un sicuro valore di sicurezza nell'avere connessioni verificate da DNSSec, tuttavia non ho ancora visto il software indicare se la connessione è sicura.

In definitiva, vorrei che i miei utenti riconoscessero che DNSSec è una soluzione più sicura, e che preferisco o la richiede quando tratta le nostre transazioni commerciali. Ci darebbe un vantaggio competitivo.

What are my options to get users to see that they are more secure with DNSSec? They don't have to understand it, and it's better if they don't have to go trolling though menus to determine this. Suggestions such as Browser plug-ins or solutions for LoB applications are more than welcome.

È un peccato che i certificati EV siano quelli che evidenziano l'URL in verde. Ritengo che DNSSec rappresenti un miglioramento di sicurezza fondamentale rispetto a EV, che essenzialmente è Security Theater in confronto .

web-browser dns tls dnssec

posta random65537 25.09.2011 - 17:08

fonte

1 risposta

Leggi altre domande sui tag web-browser dns tls dnssec

Protocollo chiave-accordo in un'API REST Come posso acquisire i dati POST e inoltrare l'utente a un'altra pagina?

score 7 · Accepted Answer

Credo fermamente che l'uso puro di DNSSEC non dovrebbe essere indicato all'utente. DNSSEC garantisce solo che le ricerche DNS non vengano manomesse da terze (quarte?) Parti.

DNSSEC non garantisce che la connessione sia realmente stabilita con l'indirizzo IP restituito né che nessun utente malintenzionato stia ascoltando i dati. Quindi DNSSEC così puro è troppo complicato da comprendere per un utente medio rispetto al piccolo guadagno in sicurezza.

Un approccio interessante è quello di pubblicare la chiave SSL pubblica tramite DNSEC invece di o in aggiunta all'utilizzo delle tradizionali autorità di certificazione SSL. Questo risolve uno dei problemi principali dell'approccio tradizionale: al momento qualsiasi autorità di certificazione SSL (transitiva) attendibile può firmare i certificati per qualsiasi dominio. Con un approccio basato su DNSSEC, solo l'autorità responsabile per il dominio di primo livello può firmare. Ciò riduce notevolmente la superficie di attacco. (E mette un sacco di potere alle autorità di dominio)

L'indicazione visiva di "SSL con chiave pubblica pubblicata tramite DNSSEC" dovrebbe essere simile a SSL utilizzando i certificati EV. Dubito che vediamo l'approccio tradizionale di andare via presto perché ci sono molti soldi coinvolti.